Popust za več licenc
Podjetje o grožnjah Orodja za oddaljeno upravljanje HoldingHands RAT

HoldingHands RAT

Do leta Mezo leta Orodja za oddaljeno upravljanje, Napredna trajna grožnja (APT)
Prevedi v:

Akterji, ki stojijo za družino zlonamerne programske opreme Winos 4.0 (ki jo spremljajo tudi kot ValleyRAT), so svoje delovanje razširili izven Kitajske in Tajvana ter ciljali na Japonsko in Malezijo. V teh nedavnih kampanjah je skupina razširila še enega trojanca za oddaljeni dostop (RAT), identificiranega kot HoldingHands (znan tudi kot Gh0stBins), ki je kot primarni vektor uporabljal dokumente za lažno predstavljanje z družbenim inženiringom.

Kako se kampanja širi

Napadalci zlonamerno programsko opremo širijo prek lažnih e-poštnih sporočil, ki vsebujejo priloge PDF z vdelanimi zlonamernimi povezavami. PDF-ji se izdajajo za uradna sporočila – v nekaterih primerih se predstavljajo kot dokumenti ministrstva za finance – in vsebujejo več povezav, od katerih le ena vodi do zlonamernega prenosa. V drugih primerih je vaba spletna stran (na primer stran v japonščini, ki gostuje na URL-ju, kot je »twsww[.]xin/download[.]html«), ki žrtve pozove, naj pridobijo arhiv ZIP, ki vsebuje datoteko RAT.

Metode distribucije in pripisovanje

Winos 4.0 se pogosto širi prek lažnega predstavljanja in kampanj za zastrupljanje SEO, ki žrtve preusmerjajo na lažne strani za prenos, ki se izdajajo za legitimno programsko opremo (opaženi primeri vključujejo ponarejene namestitvene programe za Google Chrome, Telegram, Youdao, Sogou AI, WPS Office in DeepSeek). Varnostni raziskovalci povezujejo uporabo Winosa z agresivno skupino kibernetskih kriminalcev, znano pod različnimi imeni, kot so Silver Fox, SwimSnake, Valley Thief (The Great Thief of Valley), UTG-Q-1000 in Void Arachne. Septembra 2025 so raziskovalci poročali, da je ta akter zlorabil prej nedokumentiran ranljiv gonilnik, ki je bil priložen izdelku prodajalca, imenovanemu WatchDog Anti-malware, s tehniko BYOVD (Bring Your Own Vulnerable Driver), da bi onemogočil zaščito končnih točk. Pred tem (avgust 2025) je skupina uporabila zastrupljanje SEO za širjenje modulov HiddenGh0st in Winos, junijsko poročanje pa je dokumentiralo, da je Silver Fox uporabljal PDF-je, ki so bili zaskočeni, za izvedbo večstopenjskih okužb, ki so na koncu sprožile virus HoldingHands RAT. Med zgodovinskimi vabami so Excelove datoteke z davčno tematiko, ki so bile uporabljene proti Kitajski vse od marca 2024; nedavna prizadevanja so se preusmerila na malezijske ciljne strani za lažno predstavljanje.

Večstopenjska okužba in vztrajnost

Okužba se običajno začne z izvedljivo datoteko, ki se maskira kot revizijski račun ali drug uradni dokument. Ta izvedljiva datoteka naloži zlonamerno DLL datoteko, ki deluje kot nalagalnik lupinske kode za koristni tovor z imenom »sw.dat«. Nalagalnik izvede več protianalitičnih in obrambnih ukrepov – preverjanje virtualnih strojev, skeniranje delujočih procesov za znane varnostne izdelke in njihovo prekinitev, stopnjevanje privilegijev in onemogočanje razporejevalnika opravil sistema Windows – preden preda nadzor naslednjim fazam.

Opažene datoteke, ki so bile spuščene v sistem:

  • svchost.ini – vsebuje RVA za VirtualAlloc.
  • TimeBrokerClient.dll (zakonita datoteka TimeBrokerClient.dll, preimenovana v BrokerClientCallback.dll).
  • msvchost.dat — šifrirana lupinska koda.
  • system.dat – šifriran koristni tovor.
  • wkscli.dll — neuporabljena/nadomestna DLL datoteka.

Sprožilec razporejevalnika opravil in prikrita aktivacija

Namesto da bi se zanašala na eksplicitni zagon procesa, kampanja izkorišča vedenje razporejevalnika opravil sistema Windows: razporejevalnik opravil se izvaja kot storitev pod svchost.exe in je privzeto konfiguriran za ponovni zagon kmalu po napaki. Zlonamerna programska oprema spremeni datoteke tako, da ob ponovnem zagonu storitve razporejevalnika opravil svchost.exe naloži zlonamerno datoteko TimeBrokerClient.dll (preimenovano v BrokerClientCallback.dll). Ta DLL dodeli pomnilnik za šifrirano kodo lupine z uporabo naslova VirtualAlloc, shranjenega v datoteki svchost.ini, nato pa povzroči, da msvchost.dat dešifrira system.dat in izvleče koristni tovor HoldingHands. Ta sprožilec »ponovni zagon storitve → nalaganje DLL« zmanjša potrebo po neposrednem izvajanju procesa in otežuje zaznavanje na podlagi vedenja.

Eskalacija privilegijev na TrustedInstaller

Za pridobitev dovoljenj, potrebnih za preimenovanje in zamenjavo zaščitenih sistemskih komponent (na primer preimenovanje originalne datoteke TimeBrokerClient.dll), nalagalnik pooseblja sistemske račune z visokimi privilegiji. Opaženo zaporedje je naslednje:

  • Omogočite SeDebugPrivilege za dostop do procesa Winlogon in njegovega žetona.
  • Uporabite žeton Winlogon za zagon kot SYSTEM.
  • Iz sistema pridobite varnostni kontekst TrustedInstaller – račun, ki ga Windows Resource Protection uporablja za zaščito kritičnih datotek operacijskega sistema.
  • Z uporabo konteksta TrustedInstaller lahko zlonamerna programska oprema spremeni zaščitene datoteke v C:\Windows\System32 (dejanje, ki je običajno omejeno celo na skrbnike).

Kako koristni tovor izvaja in vzdržuje nadzor

Zlonamerna komponenta TimeBrokerClient dodeli pomnilnik glede na RVA v datoteki svchost.ini, tja namesti dešifrirano shellcode iz datoteke msvchost.dat in jo zažene. Dešifrirana koristna vsebina razpakira HoldingHands, ki nato vzpostavi komunikacijo z oddaljenim strežnikom za upravljanje in nadzor (C2). Opažene zmogljivosti vključujejo:

  • Pošiljanje informacij o gostitelju na C2.
  • Pošiljanje sporočil o srčnem utripu vsakih 60 sekund, da se kanal ohrani aktiven.
  • Sprejemanje in izvajanje oddaljenih ukazov (kraja podatkov, izvajanje poljubnih ukazov, pridobivanje dodatnih koristnih tovorov).
  • Dodana funkcija, ki operaterju omogoča posodobitev naslova C2 prek vnosa v register sistema Windows.

Ciljanje, jezikovni fokus in verjeten motiv

Nedavni vzorci in vabe kažejo na osredotočenost na žrtve, ki govorijo kitajsko, čeprav geografski obseg zdaj vključuje Japonsko in Malezijo. Operativni vzorci – izvidovanje, regionalno ciljanje, prikrita vztrajnost in modularna funkcionalnost zadnjih vrat – kažejo na zbiranje obveščevalnih podatkov v regiji, pri čemer vsadki pogosto mirujejo v pričakovanju nadaljnjih navodil.

Povzetek

Operaterji, povezani s Silver Foxom, so razširili dejavnost Winos 4.0 in svojemu naboru orodij dodali HoldingHands RAT, pri čemer uporabljajo dovršen socialni inženiring (PDF-je in strani, zastrupljene z SEO) in prefinjeno večstopenjsko izvedbeno verigo, ki zlorablja vedenje razporejevalnika opravil in privilegije TrustedInstaller za vztrajanje in izogibanje odkrivanju. Zmogljivosti in ciljanje operacije kažejo na osredotočeno regionalno zbiranje obveščevalnih podatkov z dolgoživimi, modularnimi vsadki, ki čakajo na ukaze operaterja.

V trendu

American Express - Poskus prijave je bil blokiran -...

Lažno predstavljanje, Neželena pošta
Kibernetski kriminalci pogosto izkoriščajo poznavanje zaupanja vrednih blagovnih znamk, da zvabijo nič hudega sluteče uporabnike v razkritje občutljivih podatkov. Prevara »American Express – poskus prijave je bil blokiran« je odličen primer te taktike. Ta e-poštna sporočila posnemajo varnostna opozorila American Expressa, v katerih trdijo, da je bil sumljiv poskus prijave blokiran, in...

Najbolj gledan

Nalaganje...